El navegador de Google, vulnerable a la brecha Carpet Bomb
Los atacantes pueden combinar el agujero “carpet bomb”, descubierto desde hace meses, con otro fallo detectado en agosto para conseguir que los usuarios del nuevo navegador Chrome de Google descarguen y difundan código malicioso, según acaba de advertir el investigador israelí especializado en seguridad Aviv Raff.
La vulnerabilidad “carpet bomb” sirvió también hace poco para la creación de otra amenaza combinada, Safari/IE, contra el navegador de Apple. Ésta finalmente cubrió la brecha, basada en la mezcla del problema de WebKit con otra vulnerabilidad en Microsoft Internet Explorer, a finales de junio mediante la actualización de Safari a la versión 3.1.2.
Sin embargo, ahora Google, como se ha dicho, ha utilizado en Chrome una versión de WebKit previa al parche que los propios desarrolladores de las herramientas ejecutaron para resolver el fallo de seguridad, y, en consecuencia, el problema ha vuelto a aparecer. En concreto, la beta de Chrome utiliza WebKit 525.13, el motor implementado por Safari 3.1.
El otro componente del ataque diseñado por Raff es un agujero revelado por el experto británico Petko Petkov en la conferencia Black Hat. En su demostración, Petkov mostró cómo un fallo en Java permite hacer que Windows ejecuten automáticamente archivos JAR descargados desde Internet sin desplegar avisos al respecto.
Cómo protegerse
Para cambiar el modo de funcionamiento de Chrome a esta configuración, debe seleccionarse el comando “Options” (Opciones) del navegador bajo el menú “Customize and Control Google Chrome” (Personalización y Control de Google Chrome) , el cual se encuentra en el extremo derecho, cerca del límite superior de la pantalla del navegador. A continuación, deberá activarse la etiqueta “Minor Tweaks” (Ajustes menores) en la ventana de Options, y después seleccionar la opción “Ask where to save each file before downloading” (preguntar dónde guardar cada archivo antes de la descarga). De esta forma, cada vez que sobre el sistema del usuario vaya a descargarse un fichero, el usuario podrá tener conocimiento de ello a través gracias a las preguntas del navegador, y decidir si desea realmente proceder a la descarga o no.